Monitoreo y Medición del SGSI

Clase 17 de 22Curso de Certificación ISO 27001 para Empresas

Clase anteriorSiguiente clase

Resumen

El monitoreo y medición de un sistema de gestión de seguridad de la información es fundamental para garantizar su efectividad y valor real para la organización. Un enfoque sistemático permite no solo verificar el cumplimiento de objetivos establecidos, sino también identificar oportunidades de mejora continua y tomar decisiones basadas en datos concretos. La capacidad de demostrar el progreso y los resultados tangibles ante la alta dirección fortalece la posición estratégica de la seguridad dentro de la empresa.

¿Cómo implementar un monitoreo efectivo en tu sistema de gestión?

Para asegurar que tu sistema de gestión de seguridad de la información funcione correctamente y aporte valor real a la empresa, es necesario establecer mecanismos de monitoreo y medición adecuados. Estos te permitirán verificar el cumplimiento de los objetivos de seguridad y tomar decisiones informadas.

Algunos consejos prácticos para implementar un monitoreo efectivo son:

  • Crear indicadores y métricas claras que se alineen directamente con los objetivos de seguridad definidos en tu sistema de gestión.
  • Monitorear permanentemente los indicadores para detectar de manera oportuna cualquier desviación o problema en el funcionamiento del sistema.
  • Automatizar procesos de recolección de datos para facilitar la medición. Por ejemplo, si tienes un indicador relacionado con el tiempo de restauración de copias de seguridad, puedes implementar procesos automáticos de recovery que registren tiempos y resultados.
  • Organizar resultados en gráficos o tablas de tendencia que faciliten la visualización y presentación de avances ante la alta dirección.

¿Qué elementos debe incluir el seguimiento y análisis del sistema?

Un sistema de gestión bien estructurado debe incorporar una sección específica para el seguimiento, análisis y evaluación. Esta sección debe responder claramente a preguntas fundamentales:

  • ¿Qué elementos medimos y a cuáles hacemos seguimiento?
  • ¿Qué métodos utilizamos para medir, analizar y evaluar nuestro sistema?
  • ¿Con qué periodicidad realizamos este seguimiento y evaluación?

Es importante designar responsables claros para estas tareas y establecer una periodicidad adecuada, recomendándose cada dos meses como un intervalo apropiado para la mayoría de las organizaciones.

¿Cómo se aplica en un caso real?

El caso de Nutri Global ilustra perfectamente la implementación de estos conceptos. Esta empresa evidencia el monitoreo de sus objetivos de seguridad a través de un análisis de tendencia y madurez que incluye métricas específicas.

Un ejemplo concreto es su servicio web de eCommerce, que anteriormente tenía un porcentaje de disponibilidad del 98.7%, lo cual estaba generando pérdida de clientes. La alta dirección tomó la decisión de mejorar este indicador al 99.9%, lo que implicó pasar de un nivel de madurez 2 a un nivel 5.

Para lograr este objetivo, implementaron:

- Arquitectura redundante para el servicio web
- Acciones para garantizar alta disponibilidad

Esta mejora se registró como una meta alcanzada y un logro del sistema de gestión, demostrando el valor tangible que aporta a la empresa.

Adicionalmente, Nutri Global utiliza herramientas como Clickub para mostrar resultados de sus metas definidas, visualizando avances en:

  • Tratamiento de riesgos.
  • Aprovechamiento de oportunidades.
  • Cumplimiento de mejoras propuestas en auditorías.

¿Por qué es crucial el monitoreo continuo?

El monitoreo continuo de tu sistema de gestión es fundamental para evitar retrocesos y asegurar que los recursos se invierten en actividades que realmente generan valor. Un sistema bien monitoreado permite identificar rápidamente desviaciones y tomar medidas correctivas antes de que los problemas escalen.

Además, contar con datos concretos y tendencias visibles facilita enormemente la comunicación con la alta dirección, demostrando el retorno de inversión en seguridad y justificando recursos adicionales cuando sean necesarios.

La medición sistemática también contribuye a la mejora continua, permitiendo identificar áreas de oportunidad y optimizar controles que no estén funcionando adecuadamente.

El monitoreo y medición representan la brújula que guía tu sistema de gestión hacia el éxito, proporcionando la información necesaria para tomar decisiones estratégicas y demostrar el valor que la seguridad aporta al negocio. ¿Tienes identificado algún objetivo de seguridad en tu empresa? Comparte en los comentarios cómo crees que podría medirse efectivamente para demostrar su valor.